Embed Size (px)
Citation preview
Plan de la soluciónde análisis forense digital de Dell
Ya se trate de ordenadores, portátiles, teléfonos móviles, unidades USB e incluso consolas de videojuegos, la policía y las fuerzas de seguridad se hallan bajo una enorme presión para clonar, transferir (o crear imágenes), indexar y analizar cantidades cada vez mayores de datos sospechosos, a la vez que conservan la cadena de custodia digital y protegen a los ciudadanos.
Una vez que los sospechosos son acusados y los activos informáticos confiscados, la policía y los organismos de seguridad deben trabajar a contrarreloj para procesar y analizar las posibles pruebas en entornos informáticos lejos de ser ideales. Además, cuando toda una organización es sospechosa de actividad delictiva o terrorista, el número de dispositivos para analizar se multiplica notablemente.
Este crecimiento se ha visto agravado por los espectaculares avances del hardware electrónico. La creciente diversidad de los dispositivos electrónicos de consumo, acompañada por el aumento de la capacidad de memoria o almacenamiento, ponen a disposición de delincuentes y terroristas un amplio abanico de oportunidades para ocultar información perjudicial.
Los sobremesas y portátiles suelen incluir discos duros con cientos de gigabytes de almacenamiento. Los discos duros más recientes incluyen opciones para dos o cuatro terabytes. Teniendo en cuenta que un solo terabyte puede almacenar 200 DVD, podemos afirmar que esta ingente cantidad de almacenamiento representa un problema que no hace más que crecer.
En los últimos años, se ha producido un aumento exponencial en términos de volumen, velocidad, variedad y complejidad de la actividad digital por parte de delincuentes y grupos terroristas de todo el mundo. Actualmente, la mayoría de los delitos tiene un componente digital. Es lo que algunos han denominado el “tsunami digital”.
El desafío:el tsunami digital.
Desafíos del mercado
• La falta de experiencia y recursos, combinada con un aumento exponencial del volumen de datos sospechosos, ha generado retrasos de entre 18 y 24 meses1.
• Los enfoques de tecnología informática desestructurados y puntuales se centran en infraestructuras de uno o varios ordenadores.
• El costoso tiempo necesario para la investigación se dedica a la gestión de la tecnología, la duplicación de datos y la protección de la cadena de custodia.
• El acceso remoto a los datos es limitado. Los investigadores tienen que encontrarse en el laboratorio para evitar el riesgo de pérdidas de información.
• El código malintencionado puede dañar las estaciones de trabajo de los analistas, lo que puede requerir una reconstrucción del sistema, y posiblemente contaminar las pruebas.
• Los enfoques para el backup de los datos sospechosos pueden variar en función del organismo. En ocasiones, existen riesgos de que los dispositivos o los medios presenten fallos de funcionamiento con el paso del tiempo.
Ventajas de la solución
• Simplifica la creación de imágenes, el uso compartido y el archivado de los datos entre expertos y equipos, lo que permite aumentar de forma drástica la productividad.
• Estandariza la infraestructura informática del análisis forense y establece un proceso claro para proteger el intercambio electrónico de información.
• Concentra los conocimientos forenses en el análisis de los datos sospechosos a través de una única interfaz de usuario para un conjunto de aplicaciones de análisis forense.
• Permite realizar la revisión y el análisis de los datos sospechosos y las pruebas de forma remota o in situ.
• Cuenta con la capacidad para ejecutar código malintencionado en un entorno “protegido”, de forma que no afecte a la integridad del sistema.
• Las configuraciones opcionales de backup, recuperación y archivado (BURA) y de recuperación ante desastres establecen un claro proceso para ayudar a proteger la cadena de custodia y el uso compartido de la información, así como para evitar la destrucción de ésta.
La creación de imágenes de los datos es un proceso laborioso
En primer lugar, es necesario copiar o “clonar” los discos duros para que no “contaminen” el origen de los datos. Este es el mayor desafío para los organismos o las fuerzas de seguridad, ya que, para conservar los datos copiados con las clonaciones, se requieren unos altísimos requisitos de almacenamiento.
Se pueden tardar horas o incluso días en copiar y procesar los discos duros incautados, junto con los sistemas en los que están funcionando. Además, este proceso debe llevarse a cabo con extremo cuidado y con una gran atención a los detalles.
Para conservar la cadena (o la continuidad) de custodia, existe una serie de estrictas directrices. La documentación debe incluir las condiciones bajo las cuales se han recogido las pruebas.
Debe indicarse la identidad de todos los que manipulen las pruebas. La duración de la custodia de las pruebas,
las condiciones de seguridad durante el manejo o almacenamiento de las mismas y la forma en la que las pruebas se han transferido a las personas encargadas de la custodia también deben quedar reflejadas. Todo esto requiere tiempo.
Los problemas actuales con la transferencia y el análisis de datos
Una vez clonados los datos, los expertos forenses los transfieren a una o varias estaciones de trabajo o a ordenadores de alto rendimiento. De nuevo, esto supone un gran gasto de tiempo, que varía en función de la cantidad de datos que se estén transfiriendo para después indexarlos, clasificarlos y analizarlos.
Debido al gran volumen de los datos que tienen que analizarse y al riesgo de su pérdida, los expertos deben encontrarse en el laboratorio para llevar a cabo el análisis. Además, es posible que la legislación local prohíba las búsquedas remotas en los discos duros incautados para el análisis por parte de las divisiones de delitos informáticos.
No es de extrañar, por tanto, que haya un enorme atraso con el procesamiento de los discos duros incautados; lo habitual es que transcurran de 18 a 24 meses1. Como mucho, los datos pueden compartirse entre servidores de archivos, pero el análisis sigue teniéndose que hacer en el laboratorio y requiere unas capacidades de red de vanguardia para transferir los datos entre los servidores administrados centralmente y los ordenadores de los analistas. Con mucha frecuencia, esto no permite que los datos se compartan entre analistas que trabajan en la misma ubicación, y menos aún entre sitios remotos. El uso compartido en tiempo real entre organismos o países, o entre organismos multigubernamentales es impensable.
Por lo tanto, la única solución actual para un análisis más exhaustivo es la visita al laboratorio. Además, si la imagen clonada contiene código malintencionado, puede provocar daños en la estación de trabajo del experto forense, lo que podría requerir una reconstrucción y volver a empezar el proceso de transferencia desde el principio o, si no se detecta, podría poner en peligro la cadena de custodia.
1
Solución de análisis forense digital de Dell
y aumenta la disponibilidad de los datos para varios analistas, lo que a su vez repercute en un aumento drástico de la productividad y la eficiencia.
Fase 3 (Almacenamiento) Almacenar los datos sospechosos directamente en el centro de datos permite a los expertos centrarse en el análisis y olvidarse de la preocupación de si hay espacio suficiente en el disco duro de los equipos para guardar e indexar los datos. Esto también conlleva que su trabajo no se ve ralentizado por tener que hacer backups de otros trabajos de análisis forense en medios regrabables tales como los DVD.
El almacenamiento centralizado de los datos también permite compartir datos y cargas de trabajo de forma más eficiente, además de minimizar el tiempo necesario para copiar conjuntos de datos extremadamente grandes de un dispositivo a otro, lo que aumenta aún más la productividad. Incluso con las redes de máxima velocidad, esto puede tardar horas y conlleva el uso ineficiente de los ordenadores y los recursos de red.
Fase 4 (Análisis) Al almacenar de forma centralizada los datos sospechosos, es posible clasificar e indexar los datos en el centro de datos en servidores de alto rendimiento, en lugar de usar los ordenadores específicos de los analistas.
De esta forma, se pueden ejecutar a la vez varias sesiones de análisis con software como AccessData FTK y Guidance EnCase en una o en varias estaciones de trabajo. Esto, una vez más, repercute en un aumento excepcional de la productividad. Además, el tiempo del analista puede dedicarse al análisis de datos, en lugar de a su administración.
El enfoque de Dell con respecto al análisis forense digital parte de un proceso en serie y le aplica los principios de la cloud computing utilizando las capacidades del centro de datos para permitir el procesamiento simultáneo de pruebas digitales.
Fase 1 (Clasificación) Con la combinación del robusto portátil Latitude™ E6400 XFR de Dell y el software de clasificación Spektor de Evidence Talks, los agentes de análisis forense digital tienen la oportunidad de recuperar rápidamente posibles pruebas de dispositivos sospechosos para verlas in situ. Este método permite ahorrar tiempo y, además, todos los datos que recupera son idóneos para su uso como pruebas, bien se exporten como archivo EO1 para cargarlos directamente en el centro de datos, bien se carguen como imágenes a través de la interfaz USB en el almacenamiento central para procesarlos en el laboratorio.
Fase 2 (Transferencia de datos) Al igual que ocurre con las prácticas existentes, los datos sospechosos se clonan. No obstante, en lugar de crear una imagen de los datos en una única estación de trabajo, los datos se transfieren a un repositorio central de pruebas, y no al ordenador del analista.
Al transferir los datos de forma inmediata al centro de datos, el desplazamiento de un dispositivo a otro se ve reducido
Cada copia de la aplicación se ejecuta en una sesión de servidor independiente para proteger el resto del sistema ante virus y código malintencionado, y conservar así la integridad del sistema. Si es necesario ejecutar aplicaciones o código malintencionados con el fin de comprender su funcionamiento o de recabar pruebas, los analistas pueden ejecutarlos en entornos seguros y aislados.
Antes, si se ejecutaba código malintencionado por error, podía ponerse en peligro la integridad de las pruebas sospechosas, la cadena de custodia y el tiempo ya dedicado al análisis. En consecuencia, esto probablemente habría requerido una reconstrucción de la estación de trabajo del analista y la repetición desde el principio del proceso de creación de imágenes y análisis de datos.
Fase 5 (Presentación) Una vez procesados los datos e identificadas las posibles áreas de interés, equipos de visualización de datos de hasta 200 policías (en función del tamaño de la infraestructura de análisis forense) pueden obtener acceso seguro en tiempo real a las posibles pruebas del caso. Además, la naturaleza formalizada de esta infraestructura permite un acceso remoto seguro y más sencillo a los expertos cualificados: los equipos de revisión no tienen que estar in situ para proporcionar asistencia ante incidentes mayores y no hay necesidad de arriesgarse a enviar las pruebas en CD.
Fase 6 (Archivado y Búsqueda) El plan de Dell para soluciones modulares de análisis forense digital puede ayudar a proporcionar un entorno modular y ampliable que puede expandirse y actualizarse para estar siempre al día de la creciente demanda de requisitos de procesamiento y almacenamiento.
La integración de una infraestructura formalizada de backup, recuperación y archivado (BURA) permite optimizar la cooperación entre organismos y fuerzas
de seguridad, e incluso entre países. Además, las instalaciones de BURA basadas en los estándares del sector ayudan a aligerar la carga administrativa de los analistas, a ofrecer uniformidad entre laboratorios, especialmente en tiempos de crisis, y a minimizar los riesgos que supone para la cadena de custodia digital realizar copias de seguridad de las pruebas en DVD regrabables y dispositivos de backup “caseros”. Esto facilita mucho más el traspaso seguro de información entre laboratorios de delitos informáticos.
Además, el plan de análisis forense digital de Dell incluye un componente de búsqueda opcional que permite la correlación de información entre conjuntos de datos transferidos. Esto permite al analista usar con rapidez capacidades de búsqueda como las de Internet en todo el almacén de datos del caso, incluidos tanto el contenido activo en línea como el material archivado de casos anteriores.
Ciclo de vida del análisis forense digital de Dell
2. Transferencia de datos
Una vez clonados, los datos sospechosos se transfieren directamente a un repositorio central de pruebas en lugar de a una estación de trabajo. La solución permite que se transfieran datos a varios dispositivos a la vez.
1. Clasificación
Con el robusto portátil Latitude™ E6400 XFR de Dell y el software de clasificación Spektor de Evidence Talks, los analistas forenses pueden ver rápidamente pruebas recuperadas de dispositivos sospechosos en el lugar del delito.
3. Almacenamiento
La copia directa de los datos en dispositivos de almacenamiento de alta velocidad Dell™ EqualLogic™ y EMC2 permite un perfecto intercambio de los datos entre servidores y dispositivos de almacenamiento, lo que mejora la productividad.
5. Presentación
La solución permite que un número ampliable de equipos de visualización remotos o in situ obtenga un acceso seguro a los datos del caso: todos los días del año, las 24 horas del día.
4. Análisis
Se pueden ejecutar varias sesiones de análisis al mismo tiempo en varios equipos Dell OptiPlex™ (o en uno solo), lo que también repercute en un aumento de la productividad.
6. Archivado y búsqueda Las opciones BURA basadas
en los estándares del sector ayudan a mantener la cadena de custodia digital y a cooperar e intercambiar los datos de forma segura en situaciones de crisis.
Colaboración y acceso seguros, remotos o in situ
BURA y búsqueda de datos
sospechosos formalizados
Integridad Ayuda a mantener
la cadena de custodia digital.
Disponibilidad Maximiza la
productividad y la eficiencia del análisis
forense.
Confidencialidad Ayuda a evitar la
divulgación o la pérdida de información.
Interoperabilidad y capacidad de
ampliación
Acceso compartido a las pruebas digitales,
en todo momento (disponibilidad del 99,999%)
Ejecución segura de código
malintencionado
Figura 1. Desglose del proceso de análisis forense digital en 5 fases independientes.
Un análisis más rápido de los datos facilita que los culpables paguen por sus delitos
Solución de análisis forense digital de Dell
Figura 2. Captura de pantalla de la solución de análisis forense digital de Dell que muestra una estación de trabajo de doble pantalla con varias copias en ejecución de AccessData FTK (versiones 1.8 y 2.2) y Guidance EnCase de forma simultánea.
Salida
Procesamiento
Disco de alto rendimiento
Almacenamiento de pruebas
Archivado en línea
Disco de gran capacidad
Virtualización de aplicaciones
Servicios de confidencialidad
Archivado fuera de línea
Cinta
Servicios de integridad
Gestión de casos
Disponibilidad
Almacenamiento
Estaciones de trabajo de analistas
Dispositivos recuperados
Figura 3. Representación de la solución de análisis forense digital de Dell, que muestra la transferencia de datos, el análisis y el backup, recuperación y archivado (BURA) formales.
Estaciones de revisión
Entrada
Resumen
El marco de análisis forense es un conjunto de alta disponibilidad de servicios de servidor, almacenamiento y software diseñado para procesar y almacenar datos de análisis forense digital a la vez que se protege la seguridad y la integridad de los datos durante todo su ciclo de vida. Los elementos de la solución destacados en la figura 3 incluyen:
• AlmacenamientodePruebas:unaplataforma de almacenamiento modular común compuesta de una combinación de dispositivos de almacenamiento de alto rendimiento y de gran capacidad. Esto permite que los datos se procesen rápidamente y se transfieran a la perfección a medios de almacenamiento menos costosos para una retención a corto plazo (en línea) y a largo plazo (fuera de línea).
• ServiciosdeAplicaciones:todaslasaplicaciones fundamentales de análisis forense se ejecutan en el centro de datos, lo que permite una menor latencia/actividad de red, así como un rendimiento mejorado. Gracias a esto, los analistas forenses pueden ejecutar varias sesiones de aplicaciones desde una única estación de trabajo sin que se vea afectado el rendimiento.
• ServiciosdeIntegridad:unconjuntode productos de software comerciales (COTS) personalizados que protegen las aplicaciones y los datos que se encuentran en el sistema frente a códigos malintencionados o que contengan virus; aún así, permiten que un examinador ejecute el código o las aplicaciones sospechosos en un área segura y aislada.
• ServiciosdeConfidencialidad: un perímetro de seguridad que ayuda a eliminar la fuga de datos no autorizada (esto puede configurarse de acuerdo con los estándares del gobierno británico).
• GestióndeCasos:integraciónopcional con el software existente de administración de casos del organismo público o de las fuerzas de seguridad.
• ServiciosAdicionales:Dellpuedeañadir más servicios al marco de la solución, como traducción (de texto, audio y vídeo) y búsqueda empresarial.
Michael Dell fundó Dell en 1984 con una idea simple: al vender sistemas informáticos directamente a los clientes, podía entender mejor sus necesidades y ofrecerles las soluciones informáticas más eficaces para satisfacerlas. Nuestra estrategia empresarial en continua evolución combina un revolucionario modelo de clientes directos con nuevos canales de distribución para llegar a clientes comerciales, gubernamentales e individuales de todo el mundo. Dell trabaja con los cuerpos policiales, los organismos de seguridad, los integradores de sistemas (SI) y los proveedores de soluciones especializadas para simplificar las tareas actuales de procesamiento y administración de la información y los datos sospechosos. Dell diseña, fabrica y personaliza productos y servicios, desde soluciones móviles para vehículos hasta soluciones ampliables de análisis forense digital de clase empresarial. Ofrecemos a la policía y a los organismos de seguridad un acceso remoto seguro y en tiempo real a la información esencial y la posibilidad de llevar a cabo un trabajo colaborativo.
Para una mejor toma de decisiones, unas acciones más oportunas y una agilidad mejorada, los productos de Dell incluyen:
• PortátilesLatitude™ para un trabajo móvil y flexible, incluidas soluciones para vehículos para las comunicaciones en tiempo real.
• EstacionesdetrabajoDell™ Precision™ y servidores PowerEdge™ para aplicaciones informáticas muy exigentes, como el análisis forense digital, así como centros de datos de eficiencia energética destinados a la simulación y a la generación de modelos, e infraestructuras de comando y control.
• SolucionesdealmacenamientoDell/EMC,DellEqualLogic™ y PowerVault™ que proporcionan acceso ampliable, protegido e interoperable, así como soluciones de backup, recuperación y archivado (BURA) para la información confidencial.
• LosserviciosglobalesdeDellofrecenunconjuntodeprácticosplanes para simplificar la tecnología informática que incluyen servicios de asesoría de infraestructura, servicios de implementación, servicios administrados y Dell ProSupport.
Acerca de Dell
1. Police want new remote hard drive search powers The Register, publicado el 29 de abril de 2009 (en inglés) www.theregister.co.uk/2009/04/29/remote_hard_drive_forensics
EMC es la marca registrada de EMC Corporation.
Dell Computer S.A. Calle Basauri No17 Edificio Valrealty 28023 MADRID N.I.F: A -80022734.
